IBM DB2 est une base de données produite par IBM et est utilisée dans le serveur IBM Spectrum Protect (Anciennement Tivoli Storage Manager).
Les versions d’IBM DB2 disponibles pour Linux, Unix, et Windows sont vulnérables à un dépassement de tampon qui pourrait permettre à un utilisateur local d’écraser les fichiers DB2 ou de causer un déni de service.
Le même produit est également vulnérable à un autre dépassement de tampon qui pourrait permettre à un utilisateur local d’exécuter du code sur le serveur.
IBM a publié dans un bulletin de sécurité les patchs nécessaires pour remédier à cette vulnérabilité.
Impact
- Déni de service
- Élévation de privilèges.
Criticité
CVSS v3 : 5.2
Existence d’un code d’exploitation de la vulnérabilité
Un code d'exploitation de la vulnérabilité est disponible à l’adresse suivante.
Composants & versions vulnérables
- 8.1.0.0 jusqu’à 8.1.2.x
- 7.1.0.0 jusqu’à 7.1.7.x
- 6.3 et versions antérieures
CVE
- CVE-2017-1105
- CVE-2017-1297
Correctifs
IBM a publié une version corrigeant cette vulnérabilité disponible sur le site de l'éditeur.
Solution de contournement
Il n’existe pas actuellement de solution de contournement.